可以将CSRF令牌放在cookie中吗?(并且在每种形式中,作为隐藏的输入,所以我可以检查它们是否匹配)当然我听到有人说这样做,打败了令牌的整个目的,虽然我不明白为什么.这对我来说似乎很安全.
如果它是安全的,那么将令牌放入URL中是不是更安全?
还有其他方法吗?
我在哪里可以阅读更多关于这个主题?
更新:到目前为止,没有人能告诉我cookie方法是如何不安全的,如果它仍然必须匹配攻击者无法获得的表单中的令牌,除非他使用另一个像XSS这样的黑客攻击,这是一个不同的事情,使用cookie和url令牌仍然没有区别.
更新2:好的,似乎一些着名的框架使用这种方法,所以应该没问题.谢谢